Personvernerklæring

1. Innledning
Personvernlovgivningen skal blant annet sikre integritet og konfidensialitet ved behandling av personopplysninger. Equinor forplikter seg til å ivareta personvernet for våre ansatte og alle vi gjør forretninger med. Vi vil kun benytte personopplysninger til berettigede formål, og personopplysningene vil behandles i samsvar med gjeldende krav til beskyttelse av personopplysninger og Equinors bindende selskapsregler (Binding Corporate Rules).

Innenfor Equinor-konsernet vil behandlingsansvarlig være Equinor ASA og/eller de(t) Equinor-selskap(er) du har forbindelse med. Du finner en liste over de av Equinors selskaper som behandler personopplysninger her. Equinor ASA drifter nettstedet equinor.com og er ansvarlig for behandlingen av personopplysninger som genereres gjennom bruk av nettsiden, i tillegg til flere av prosessene som beskrives i avsnitt 2 under. De lokale enhetene i Equinor er ansvarlig for lokale behandlinger av personopplysninger og på lokale nettsider.

2. Equinors behandling av personopplysninger
2.1. Generelt

Equinor behandler personopplysninger om ansatte og eksterne konsulenter som jobber på Equinors eiendom og/eller i Equinors systemer. Equinor behandler også opplysninger om personer som ikke er ansatt eller engasjert av Equinor, og det er disse personene denne personvernerklæringen primært er rettet mot. De viktigste kategoriene av personopplysninger som behandles beskrives i avsnitt 3 under.

Equinor vil alltid sørge for forsvarlig, rettferdig og lovlig behandling av personopplysninger, og vil kun benytte slik informasjon til uttrykkelig angitte og legitime formål, i samsvar med loven. Equinor vil derfor kun behandle personopplysninger når slik behandling er nødvendig for at vi skal kunne drive vår virksomhet, tilby tjenester eller ivareta andre legitime forretningsinteresser, oppfylle rettslige krav eller avtaler, eller etter samtykke (der sistnevnte kan trekkes tilbake til enhver tid). Tilbaketrekking av samtykke vil ikke påvirke lovligheten av behandling som var basert på samtykket før det ble trukket tilbake. Mer informasjon om juridisk grunnlag er oppgitt under.

Equinor vil sørge for forsvarlig informasjonssikkerhet knyttet til konfidensialitet, integritet og tilgjengelighet. Personopplysninger vil ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.

Eksterne tjenesteleverandører kan behandle personopplysninger på vegne av Equinor på ulike områder. Equinor har iverksatt tilstrekkelige sikringstiltak i samsvar med gjeldende lovgivning for å beskytte de personopplysningene som behandles av eksterne tjenesteleverandører.

Equinor behandler personopplysninger om personer som ikke er ansatt eller engasjert av Equinor, og da med følgende ulike formål:

2.2 Anskaffelser og andre forretningsrelasjoner
Equinor behandler personopplysninger som er nødvendige for at vi skal kunne anskaffe varer og tjenester fra leverandører og entreprenører, for kontraktsforvaltning og for verifisering av menneskerettigheter. Opplysninger som behandles for slike formål inkluderer kontaktinformasjon og personalrelatert informasjon. Det rettslige grunnlaget er Equinors berettigede interesse knyttet til å sikre god forvaltning av og støtte til våre leverandører, samarbeidspartnere og kunder.

2.3. Integritetsundersøkelser
Equinor har etablert en omfattende prosess for integritetsundersøkelser, Integrity Due Diligence (IDD). IDD-prosessen består blant annet av å samle inn informasjon som hjelper oss med å forstå hvem våre potensielle samarbeidspartnere er, hvilke verdier de har og hvordan de driver sin virksomhet. I noen tilfeller kan IDD også omfatte behandling av personopplysninger. Mer informasjon om IDD finner du her. Personopplysninger som behandles for dette formålet kan inkludere kontaktinformasjon og annen informasjon som er nødvendig for å gjennomføre integritetsundersøkelsene, slik som stilling, mulig politisk posisjon og politiske roller, eventuell oppføring på sanksjonslister, personlige relasjoner, kontrakter, relevante medlemskap, referanser, rettslige krav og spørsmål knyttet til omdømme. Det rettslige grunnlaget er å oppfylle rettslige forpliktelser, ivareta våre berettigede interesser og fastsette, gjøre gjeldende eller forsvare rettskrav.

2.4. Etikkhjelpelinjen
Equinor har etablert en etikkhjelpelinje, der ansatte og eksterne tredjeparter som samarbeider med oss kan si fra om bekymringer og rapportere antatte eller potensielle brudd på lovgivning eller Equinors etiske retningslinjer. Mer informasjon om etikkhjelpelinjen finner du her. Som følge av etikkhjelpelinjens natur vil behandling av saker kunne omfatte alle kategorier personopplysninger, også særlige kategorier. Det rettslige grunnlaget er berettiget interesse eller at det er nødvendig for å oppfylle Equinors rettslige forpliktelser, utøve og oppfylle Equinors rettigheter og forpliktelser når det gjelder lovgivning knyttet til områdene arbeidsrett, trygderett og sosialrett, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

2.5. Lokale klageordninger
I noen land har Equinor etablert lokale klageordninger for å kunne motta, granske og svare på klager fra enkeltpersoner, lokalsamfunn eller deres representanter knyttet til aktiviteter hos Equinor eller Equinors kontraktspartnere som kan ha negativ innvirkning på lokalsamfunn eller enkeltpersoner. De personopplysningene som behandles inkluderer kontaktinformasjon og andre data som er nødvendige for å gjennomføre klageprosesser. Det rettslige grunnlaget er å utføre en oppgave som er i allmennhetens interesse eller berettiget interesse.

2.6. Screening
For å sikre etterlevelse av norske og internasjonale regelverk om sanksjoner og antihvitvasking, kan Equinor foreta en screening av eksterne tredjeparter som selskapet har relasjoner til. Mer informasjon om sanksjoner finner du her. De personopplysningene som behandles er kontaktinformasjon, stilling og resultater fra screeningen. Det rettslige grunnlaget er berettiget interesse, rettslig forpliktelse, eller å utøve og oppfylle Equinors rettigheter og forpliktelser når det gjelder lovgivning knyttet til områdene arbeidsrett, trygderett og sosialrett.

2.7. Kommunikasjon
Equinor kommuniserer eksternt og internt med publikum generelt, bestemte målgrupper og enkeltpersoner. Eksempler på kommunikasjonsaktiviteter som utføres av Equinor eller tredjeparter er utsendelse av nyhetsbrev, pressemeldinger og selskapsrapporter, optimalisering av nettsider, organisering av arrangementer, håndtering av brukerinitiert dialog, fremlegging av informasjon til offentlige myndigheter, gjennomføring av undersøkelser, og kommunikasjon i sosiale medier. De personopplysningene som behandles inkluderer kontaktinformasjon og annen kommunikasjonsrelatert informasjon. Se våre Retningslinjer for sosial medier. Det rettslige grunnlaget er berettiget interesse av å fremskaffe informasjon og sikre god forvaltning av og støtte til våre kunder, leverandører og samarbeidspartnere, eller ditt samtykke.

2.8 Rekruttering og introduksjon av nye medarbeidere
Equinor behandler personopplysninger for rekrutteringsformål for å sikre selskapet tilgang på kvalifiserte kandidater. Personopplysningene som behandles inkluderer kontaktinformasjon, rekrutterings- og personalinformasjon. Det rettslige grunnlaget Equinor baserer seg på for behandling av dine personopplysninger gjelder behandling som er nødvendig for å oppfylle en avtale eller utføre tiltak på din forespørsel før det inngås avtale, eller ditt samtykke til å stå i CV-databasen.

Equinor behandler også personopplysninger i forbindelse med introduksjon av eksternt personell i Equinors organisasjon, basert på fusjoner og/eller oppkjøp og/eller overføring av en virksomhet. Personopplysningene som behandles inkluderer kontaktinformasjon, samt rekrutterings- og personalinformasjon. Det rettslige grunnlaget Equinor baserer seg på i denne sammenheng er rettslige forpliktelser eller berettiget interesse.

Du vil motta mer detaljert informasjon om de to typene behandling og det juridiske grunnlaget når du går inn i en rekrutteringsprosess eller hvis du er del av en introduksjonsprosess.

2.9 Sikring og beredskap
Equinor har iverksatt ulike sikringstiltak som medfører behandling av personopplysninger. Dette er sikkerhetstiltak mot ulovlig eller uautorisert adgang til bygninger, rom, systemer, prosesser og utstyr. For og i Equinors bygninger og installasjoner kan det føres aktivitetslogg og drive kameraovervåking, kontroll med varebiler og deres sjåfører og adgangskontroll for ansatte og besøkende. Hvilke kategorier av personopplysninger vi samler inn og bruker, avhenger av de aktuelle sikringstiltakene. De består av blant annet av bilder og videoer, kontaktinformasjon og arbeidssted, dato og tidspunkt for adgang til bygninger og informasjon om kjøretøy.

Equinors virksomhet medfører et visst risikonivå, både for norsk og internasjonal virksomhet. Formålet med behandlingen er å sikre støtte til personell i en krisesituasjon (sikre beredskap for personell). Personalopplysningene som behandles kan omfatte alle relevante data om personell i en krisesituasjon: kontaktinformasjon, fødselsdato, nærmeste pårørende, kontaktperson hos arbeidsgiver og kontraktør. Formålet er å oppfylle juridiske forpliktelser i ulike jurisdiksjoner når det gjelder kriseberedskap. Det juridiske grunnlaget for slik behandling av personopplysninger er vår berettigede interesse for å sikre virksomheten og eventuelle gjeldende rettslige krav knyttet til dette. 

2.10 Opptak av visse handelsaktiviteter
I tilknytning til visse handelsaktiviteter behandler Equinor kontaktinformasjon og innholdet i forretningsrelaterte telefonsamtaler og direktemeldinger (IM) for å dokumentere forhandlinger, handel og avtaler, i tillegg til å sikre etterlevelse av lovpålagte krav til dokumentasjon. Det juridiske grunnlaget er å oppfylle rettslige forpliktelser og ivareta våre berettigede interesser.

2.11 Pensjon i Equinor
Equinor behandler personopplysninger knyttet til pensjon. For mer informasjon om dine pensjonsrettigheter i Equinor kan du ta kontakt med pensjon@equinor.com.

2.12 Nettside og informasjonskapsler
Les mer om dette i våre globale retningslinjer for informasjonskapsler/cookies.  Lenke til lokale retningslinjer finner du nederst på våre andre nettsteder.

3. Kategorier og innsamling av personopplysninger
For at det skal bli lettere å forstå denne personvernerklæringen har vi etablert følgende kategorier. Dette betyr eller innebærer ikke at vår behandling alltid vil omfatte alle eksemplene på personopplysninger som er inkludert i kategoriene.

De kategoriene av personopplysninger som Equinor kan samle inn og oppbevare om registrerte personer er:

  • Kontaktinformasjon, som navn og adresse, telefonnummer, e-postadresser, titler osv.
  • Rekrutteringsinformasjon, som søknader, CV-er, referanser, bakgrunnssjekker, intervjuer og vurderinger, immigrasjons- og omplasseringsinformasjon og avgangsundersøkelser osv.
  • Personalinformasjon som opplysninger om arbeidserfaring og kvalifikasjoner, fødselsdato, identifikasjonspapirer, førerkort, nasjonalitet, personnummer, ansattnummer, stilling, organisasjon, bankkonto, pårørende, fagforeningsmedlemskap, arbeidssted, lønn og leder osv.
  • Kommunikasjonsrelatert informasjon, som offentlige politiske relasjoner, stillinger, preferanser når det gjelder markedsføring og arrangementer (inkludert allergier/kostholdsrestriksjoner når dette oppgis av deltakerne), og informasjon knyttet til brukeratferd i egne kommunikasjonskanaler (inkludert IP-adresser) osv.

Personopplysninger kan samles inn på flere måter, blant annet:

  • direkte av ansatte i Equinor når det etableres en forretningsrelasjon eller gjennom forretningsvirksomhet;
  • fra en tredjeparts tjenesteleverandør eller agent, fra en kilde til offentlig tilgjengelig informasjon (f.eks. nettsider) eller fra en arbeidsgiver (f.eks. der en leverandør eller kontraktør oppgir personopplysninger om sine ansatte);
  • gjennom bruk av Equinors nettsider; eller
  • opplysninger som oppgis direkte av deg.

4. Overføring av personopplysninger
Equinor har etablert bindende selskapsregler (Binding Corporate Rules, BCR) for å gi Equinor et juridisk grunnlag for overføring av personopplysninger i Equinor-konsernet til Equinorselskaper utenfor EU/EØS. Disse reglene gjelder for alle personopplysninger innenfor Equinor-konsernet som er beskyttet av EUs lovgivning om behandling av personopplysninger. Du finner et sammendrag av BCR her og en liste over selskaper som er omfatttet av BCR her.

Equinor vil også sikre at det europeiske regelverket om overføring av personopplysninger over landegrensene følges når personopplysninger overføres til eksterne behandlere (utenfor Equinor-konsernet) som ligger utenfor EU/EØS, eller i et land som ikke anerkjennes av EU-kommisjonen når det gjelder å sikre tilstrekkelig grad av beskyttelse. Eksempler på slik sikring er bindende virksomhetsregler (BCR), EUs standard kontraktsvilkår, eller andre tilgjengelige overføringsmekanismer.

5. Slik utøver du dine rettigheter som registrert
Nasjonal og internasjonal lovgivning om behandling av personopplysninger gir rettigheter til registrerte personer. Slike registrerte personer har, i visse tilfeller og avhengig av lokal rett, rett til å be om tilgang, retting, sletting og/eller begrensninger i behandlingen av sine data.

Hvis du har spørsmål eller ønsker å utøve dine rettigheter som registrert, kan du ta kontakt med personvernombudet i Equinor (e-postadresse: gm_dataprotection@equinor.com.  Du har rett til å klage til det norske Datatilsynet dersom du mener at vi har overtrådt personvernlovgivningen, men vi oppfordrer deg til å kontakte Equinors personvernombud før du eventuelt sender inn en slik klage.

6. Informasjon til innbyggere i California
Hvis du er bosatt i California, kan lovgivningen der gi deg ytterligere rettigheter relatert til vår behandling av personopplysninger. Hvis du vil lære mer om dine personvernrettigheter i California, kan du gå til personvernerklæringen for Californias innbyggere.

7. Informasjon til innbyggere i Japan
Equinor New Energy B.V, ved sin japanske avdeling kan for enkelte av formålene som er nevnt i denne personvernerklæringen, overføre personopplysninger til Equinor ASA for behandling (kyodo-riyo). I slike tilfeller vil Equinor New Energy B. V. ved sin japanske avdeling være den ansvarlige part for utøvelsen av dine rettigheter som registrert og annen behandling av disse personopplysningene etter japansk lov.

8. Endringer i denne personvernerklæringen
Vi kan oppdatere denne personvernerklæringen fra tid til annen. Hvis oppdateringen ikke er vesentlig, kan vi gjøre slike endringer uten å publisere en særskilt melding om dette. Dersom endringene er betydelige og påvirker dine rettigheter eller måten vi behandler personopplysninger på, vil vi gi særskilt melding om dette på nettsiden vår. Se derfor på denne personvernerklæringen med jevne mellomrom.

Sist oppdatert: 25.05.2021